Come faccio a impostare una password di autenticazione volta? [chiuso]
https://stackoverflow.com/questions/540232
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho una rete domestica, che accede in remoto un bel po '. Ma sono preoccupati per la sicurezza. Mentre io ho password complesse, sono preoccupato che qualcuno acquisirà la mia password e utilizzarla per ottenere l'accesso.
Ho sentito parlare di "one-time password" e anche avuto modo di usarle nella mia università. Avevamo appena premere un pulsante su un dispositivo (o eseguire un'applicazione su un telefono) e ottenere una password generata che avrebbe funzionato per il prossimo minuto o giù di lì.
- Come posso impostare una cosa del genere su?
- Ci sono sistemi che sono facili da usare e configurare?
- Qualcuno ha suonato in giro con uno SDK di uno di questi sistemi?
- Dove posso ottenere uno starter kit da?
Modifica : Io corro una rete Linux e Windows misti, e sto vagamente sperando di usare questo per l'autenticazione su entrambi i sistemi operativi. (No, non c'è alcun controller di dominio, ma posso crearne uno usando Samba, suppongo.)
Soluzione
In Linux si chiama S / Key: qui
Non è un pulsante aggeggio, ma si è seeding e stampare un elenco di password monouso da portare in giro con voi. Per farlo funzionare con un misto env avresti bisogno di farlo funzionare sulla vostra macchina Windows quindi ottenere la casella di Linux di autenticarsi da quello o (più facile) farlo funzionare su Linux quindi collegarlo al Samba in modo che Windows possa autenticarsi fuori di esso.
Google è tuo amico.
Altri suggerimenti
S / Key è bene per un'implementazione OTP a basso costo. Se sei veramente preoccupato, però, poi preoccuparsi anche sulle sessioni di essere dirottato dopo che sono iniziati. Nel qual caso si potrebbe considerare un tunnel SSH per crittografare il traffico. SSH si presta anche meglio di tunneling altre applicazioni attraverso una volta si imposta l'accesso. Infine, non si dispone di un modo semplice per portare in giro un client SSH con voi (o non si fidano client SSH di altre persone), ci sono alcuni client SSH web-based che si potrebbe offrire dal proprio server - quindi è sotto il vostro controllo ma disponibile da qualsiasi browser.
Un approccio potrebbe essere la seguente: -
U'll bisogno di fare un programma che genererà una password che sarà accettata solo dal sistema ur a casa per un determinato arco di tempo.
Per es. Quando si esegue il programma l'uscita sarà valida per un determinato periodo di tempo e saranno accettate dal sistema di sicurezza domestica come il sistema genererà anche la stessa uscita mettendo le l'hash, il trucco è quello di ottenere lo stesso hash ad entrambe i luoghi.
Credo che questo avrà bisogno di più di brainstorming !!!!
Come un addendum al renegadeMind di inviare un modo per farlo sarebbe quello di avere un programma su entrambe le estremità che genera una sequenza di numeri casuali. Una proprietà di generatori di numeri pseudo-casuali (PRNG) è che se li si inizia con lo stesso seme, continueranno a generare la stessa sequenza di numeri casuali. Quindi, a seconda della vostra esperienza (o la disponibilità della tecnologia) è possibile impostare la propria rete fino a generare una nuova password ogni x minuti. Poi si potrebbe portare in giro un pezzo di software che avrebbe eseguito su un telefono o altro hardware embedded che calcola quello che passo nella sequenza del PRNG è fino a e poi elencare la password corrente per voi.
Dopo aver detto che la sicurezza del sistema sarebbe limitato al seme che si sceglie e il tempo che si sceglie che ogni chiave è valida per.
In aggiunta a questo v'è probabilmente una soluzione software che farà questo per voi. IMHO è meglio prendere l'implementazione esistente quindi reinventare la ruota.
Modifica: Wikipedia ha un buon articolo qui . La parte su specifici tecnologie di OTP sarà probabilmente il più rilevante.
Buona fortuna però!
La prima cosa che devi decidere è che cosa protocollo di autenticazione sarà il vostro standard. Vi consiglio Radius, in particolare per l'autenticazione a due fattori in azienda. Radius è supportata da tutti i principali fornitori di VPN e di rete, nonché tutti i principali fornitori di 2fa.
Poi, prendere in considerazione i servizi che si desidera proteggere. Per Linux, questo di solito significa PAM. Per fortuna, l'aggiunta di 2FA a Linux tramite PAM è abbastanza indolore: http://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to/ . Per i servizi di Windows, si vuole loro percorso attraverso ISA o VPN.
È possibile configurare tutte le vostre richieste raggio per passare attraverso annunci utilizzando il raggio MS plug-IAS / NPS. http: // www.networkworld.com/news/2010/050710-two-factor-authentication-through-windows-server.html?source=nww_rss
Infine, al momento di scegliere la vostra soluzione 2FA, basta assicurarsi che essi supportano raggio.
Per quanto riguarda SDK, che è una situazione per-vendor. Ecco un link al nostro: http://www.wikidsystems.com/downloads/network-clients
hth, nick
